Katalog CVE

CVE-2026-44894

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Netty dotyczy domyślnego handlera tokenów QUIC (NoQuicTokenHandler), który zawsze zwraca 0 z metody validateToken(), co jest interpretowane jako poprawny token. Atakujący może wysłać pakiet Initial z dowolnymi bajtami tokena i sfałszowanym źródłowym adresem IP ofiary, powodując, że serwer Netty uzna adres ofiary za zweryfikowany i wyśle do niej pełne odpowiedzi bez ograniczenia amplifikacji 3×.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku amplifikacyjnego na ofiarę (np. DDoS), gdzie serwer Netty wysyła duże odpowiedzi (certyfikaty itp.) do sfałszowanego adresu IP bez limitów, co może przeciążyć sieć lub zasoby ofiary.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Netty do wersji 4.2.15.Final lub nowszej, która zawiera poprawkę przywracającą prawidłowe zachowanie NoQuicTokenHandler (zwracanie -1 dla nieprawidłowego tokena).

Oryginalny opis (angielski, źródło NVD)

Netty is a network application framework for development of protocol servers and clients. NoQuicTokenHandler is the tokenHandler used when the application does not set one. Prior to version 4.2.15.Final, its writeToken() returns false (server will not send Retry — acceptable), but validateToken() unconditionally `return 0`. In QuicheQuicServerCodec.handlePacket(), a non-negative return from validateToken() is interpreted as 'token is valid, ODCID starts at offset 0', causing the server to call quiche_accept as if the client's address had been validated by a Retry round-trip. Per RFC 9000 §8.1, a validated address lifts the 3× anti-amplification send limit. Thus any attacker who includes ANY non-empty token bytes in an Initial packet — with a spoofed victim source IP — causes the Netty server to treat the victim as validated and reflect full-size handshake flights (certificates, etc.) toward it without the 3× cap. The correct 'no token handler' semantics would be to return -1 (invalid) so the normal un-validated path and amplification limit apply. Version 4.2.15.Final patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS